1 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続先IPアドレス)
- SourceHostname: 送信元ホスト名 (接続先ホスト名)
- SourcePort: 送信元ポート番号 (135)
- DestinationIp: 宛先IPアドレス (接続元IPアドレス)
- DestinationHostname: 宛先ホスト名 (接続元ホスト名)
- DestinationPort: 宛先ポート番号 (ハイポート)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (135)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
2 |
セキュリティ |
4672 |
特殊なログオン |
新しいログオンに特権が割り当てられました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege)
|
セキュリティ |
4624 |
ログオン |
アカウントが正常にログオンしました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
- ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
- 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
- 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数) (0x0)
- プロセス情報 > プロセス名: 実行ファイルのパス (-)
- ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
- ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元IPアドレス)
- ネットワーク情報 > ソース ポート: 接続元ポート番号 (ハイポート)
- 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
- 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
- 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (-)
- 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
|
3 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続先IPアドレス)
- SourceHostname: 送信元ホスト名 (接続先ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
4 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続先IPアドレス)
- SourceHostname: 送信元ホスト名 (接続先ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (接続元IPアドレス)
- DestinationHostname: 宛先ホスト名 (接続元ホスト名)
- DestinationPort: 宛先ポート番号 (ハイポート)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
5 |
セキュリティ |
4624 |
ログオン |
アカウントが正常にログオンしました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/[ターゲットホスト名]/[ドメイン])
- サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
- ログオンの種類: ログオンの経路・方式など (5=サービス)
- 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([NETWORK SERVICE]/[NETWORK SERVICE]/[NT AUTHORITY])
- 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
- ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (-)
- ネットワーク情報 > ソース ポート: 接続元ポート番号 (-)
- 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Advapi)
- 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Negotiate)
- 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (-)
- 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
|
6 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
- CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE)
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (System)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
- ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\System32\svchost.exe -k DcomLaunch)
|
セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 (接続先ホスト名)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
7 |
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\WBEM)
|
8 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\smss.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\csrss.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\wininit.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\winlogon.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\services.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\lsass.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\lsm.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\svchost.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\spoolsv.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\taskhost.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\Dwm.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\Explorer.EXE)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\wbem\wmiprvse.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\SearchIndexer.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410)
|
9 |
セキュリティ |
4611 |
セキュリティ システムの拡張 |
信頼されたログオン プロセスがローカル セキュリティ機関に登録されている。このログオン プロセスにより、ログオン要求が送信された。
- サブジェクト > セキュリティ ID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: アカウント名 (接続先ホスト名)
- サブジェクト > アカウント ドメイン: ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ログオン プロセス名: ログオンしたプロセス名 (ConsentUI)
|
セキュリティ |
4673 |
重要な特権の使用 |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 (接続先ホスト名)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\lsass.exe)
- プロセス > プロセスID: 特権を使用したプロセスのプロセスID
- サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
|
セキュリティ |
4611 |
セキュリティ システムの拡張 |
信頼されたログオン プロセスがローカル セキュリティ機関に登録されている。このログオン プロセスにより、ログオン要求が送信された。
- サブジェクト > セキュリティ ID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: アカウント名 (接続先ホスト名)
- サブジェクト > アカウント ドメイン: ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ログオン プロセス名: ログオンしたプロセス名 (CredProvConsent)
|